oauth2,authorization_code方式
流程:
1)客户端get请求根据appid获取code,需跳转到三方登录页面,权限授权,成功后,跳转回调url带code参数;
2)服务端get接收回调请求,再post请求根据appid、appsecret和code获取access_token和uid/openid(qq/微信需要openid);
3)服务端get请求根据access_token和uid/openid(qq/微信需要openid)获取用户信息,通过openid(微博uid转成openid)检查用户是否已存在,保存到数据库,登录,成功返回openid(不安全,但为了方便登录)。
解答:
1)code有短暂时效性(一般10分钟),放在access_token短时间内不被攻破。
2)appsecret和access_token安全级别较高,必须有服务端发起请求。
3)openid是用户唯一标识。
